УДК 004.056.53

СИСТЕМА СБОРА, ХРАНЕНИЯ И ОБРАБОТКИ ИНФОРМАЦИИ И СОБЫТИЙ БЕЗОПАСНОСТИ НА ОСНОВЕ СРЕДСТВ ELASTIC STACK

И.В. Котенко, А.А. Кулешов, И.А. Ушаков

Аннотация


В статье рассматривается подход к построению системы сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack. Анализируются задачи мониторинга и управления инцидентами безопасности, исследуются архитектуры систем мониторинга, выявляются требования к ним, и предлагается архитектура системы сбора, хранения и обработки информации и событий безопасности. Описывается разработанный программный прототип системы и представляются результаты экспериментов с разработанным прототипом.

Ключевые слова


мониторинг и управление инцидентами компьютерной безопасности; SIEM-системы; Elastic Stack; Elasticsearch; Logstash; Kibana

Полный текст:

PDF

Литература


  1. Котенко И.В., Саенко И.Б. Создание новых систем мониторинга и управления кибербезопасностью // Вестник Российской академии наук. 2014. Том 84. № 11. С. 993–1001.
  2. Котенко И.В., Саенко И.Б. SIEM-системы для управления информацией и событиями безопасности // Защита информации. Инсайд. 2012. № 5(47). С. 54–65.
  3. Котенко И.В., Саенко И.Б. Архитектура системы интеллектуальных сервисов защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2013. № 1(24). С. 21–40.
  4. Kotenko I., Polubelova O., Saenko I. Data Repository for Security Information and Event Management in Service Infrastructures // Proceedings of the International Conference on Security and Cryptography (SECRYPT 2012). 2012. pp. 308–313.
  5. Котенко И.В., Саенко И.Б., Юсупов Р.М. Новое поколение систем мониторинга и управления инцидентами безопасности // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2014. № 3(198). C. 7–18.
  6. Котенко И.В., Саенко И.Б. Построение системы интеллектуальных сервисов для защиты информации в условиях кибернетического противоборства // Труды СПИИРАН. 2012. № 3(22). С. 84–100.
  7. Big Data Analytics for Security Intelligence. Cloud Security Alliance. 2013. pp. 1–12.
  8. Zuech R., Khoshgoftaar T.M., Wald R. Intrusion detection and Big Heterogeneous Data: a Survey // Journal of Big Data. 2015. pp. 1–42.
  9. Apache Hadoop 2.7.2. URL: http://hadoop.apache.org/docs/current/ (дата обращения: 20.02.2017).
  10. Dean J., Ghemawat S. MapReduce: Simplified Data Processing on Large clusters // Communications of the ACM. 2008. vol. 51. no. 1. pp. 107–113.
  11. Shim K. MapReduce algorithms for big data analysis // International Workshop on Databases in Networked Information Systems. 2013. LNCS 7813. pp. 44–48.
  12. Apache Storm. URL: http://storm.apache.org/ (дата обращения 20.02.2017).
  13. Santos O. Network Security with NetFlow and IPFIX: Big Data Analytics for Information Security // Cisco Press. 2015. 320 p.
  14. Kavanagh K.M., Rochford O., Bussa T. Magic Quadrant for SIEM // Gartner. 2016.
  15. HPE Security ArcSight ESM. URL: https://saas.hpe.com/en-us/software/siem-security-information-event-management (дата обращения: 20.02.2017).
  16. IBM Security QRadar SIEM. URL: http://www-03.ibm.com/software/products/en/qradar-siem (дата обращения: 20.02.2017).
  17. Alienvault OSSIM. URL: https://www.alienvault.com/products/ossim (дата обращения: 20.02.2017).
  18. Splunk Enterprise. URL: https://www.splunk.com/ru_ru/products/splunk-enterprise.html (дата обращения: 20.02.2017).
  19. ManageEngine EventLog Analyzer. URL: https://www.manageengine.com/products/eventlog/ (дата обращения: 20.02.2017).
  20. Cisco Systems OpenSOC. URL: https://github.com/OpenSOC/ (дата обращения: 20.02.2017).
  21. Apache Metron. URL: http://metron.incubator.apache.org/ (дата обращения: 20.02.2017).
  22. GitHub Apache Metron. URL: https://github.com/apache/incubator-metron/pulls (дата обращения: 20.02.2017).
  23. Graylog. URL: https://www.graylog.org/ (дата обращения: 20.02.2017).
  24. Documentation Graylog. URL: http://docs.graylog.org/en/2.2/pages/configuration/elasticsearch.html (дата обращения: 20.02.2017).
  25. Elastic Stack. URL: https://www.elastic.co/ (дата обращения: 20.02.2017).
  26. Chen J. et al. A Parallel Random Forest Algorithm for Big Data in a Spark Cloud Computing Environment // IEEE Transactions on Parallel and Distributed Systems. 2017. vol. 28. no. 4. pp. 919–933.
  27. Shu X., Smiy J., Yao D., Lin H. Massive Distributed and Parallel Log Analysis For Organizational Security // IEEE Globecom Workshops. December 2013. pp. 194–199.
  28. Leveraging a Big Data Model in the Network Monitoring Domain. White Paper. VSS Monitoring. 2014. URL: http://www.vssmonitoring.com/ resources/whitepapers/Leveraging-a-BD-Model-Whitepaper.pdf (дата обращения: 03.12.2016).
  29. Dumitras T., Shou D. Toward a Standard Benchmark for Computer Security Research: the Worldwide Intelligence Network Environment (WINE) // Proceedings of the First Workshop on Building Analysis Datasets and Gathering Experience Returns for Security (BADGERS’11). 2011. pp. 89–96.
  30. Giura P., Wang W. Using Large Scale Distributed Computing to Unveil Advanced Persistent Threats // Science Journal. 2013. vol. 1. no. 3. pp. 93–105.


Игорь Витальевич Котенко - д-р техн. наук, профессор, заведующий лабораторией проблем компьютерной безопасности, Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН).
Область научных интересов: безопасность компьютерных сетей, в том числе управление политиками безопасности, разграничение доступа, аутентификация, анализ защищенности, обнаружение компьютерных атак, межсетевые экраны, защита от вирусов и сетевых червей, анализ и верификация протоколов безопасности и систем защиты информации, защита программного обеспечения от взлома и управление цифровыми правами, технологии моделирования и визуализации для противодействия кибертерроризму.
Число научных публикаций: 450.

Адрес (E-mail): ivkote@comsec.spb.ru
Почтовый адрес: 14-я линия В.О., 39, Санкт-Петербург, 199178
URL: http://www.comsec.spb.ru
Телефон: +7-(812)-328-71-81
Факс: +7(812)328–4450


Артем Андреевич Кулешов - бакалавр, Федеральное государственное бюджетное образовательное учреждение высшего образования «Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича» (СПбГУТ).
Область научных интересов: большие данные, информационная безопасность.
Число научных публикаций: 3.

Адрес (E-mail): gart9515@gmail.com
Почтовый адрес: пр. Большевиков, 22, к. 1, Санкт-Петербург, 193382
Телефон: +79997509515


Игорь Александрович Ушаков - старший преподаватель кафедры защищенных систем связи, Федеральное государственное бюджетное образовательное учреждение высшего образования «Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича» (СПбГУТ).
Область научных интересов: большие данные, информационная безопасность, безопасность компьютерных сетей, технологии виртуализации.
Число научных публикаций: 20.

Адрес (E-mail): ushakovia@gmail.com
Почтовый адрес: пр. Большевиков, 22, к. 1, Санкт-Петербург, 193382
Телефон: +79214106586




DOI: http://dx.doi.org/10.15622/sp.54.1